• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

使用command-privilege 限制接口授权异常的问题

  • 0关注
  • 1收藏,2437浏览
粉丝:0人 关注:0人

问题描述:

新建了一个level 0的账号无法限制访问指定接口


指定1/0/41配置给level0级别的账号 命令如下:

command-privilege level 0 view shell system-view 

command-privilege level 0 view system interface gigabitethernet 

 command-privilege level 0 view system interface gigabitethernet 1/0/41


配置完之后可以进入到其他的业务接口,无法只限制访问1/0/41,使用gigabitethernet1/0/41也不行(不加空格)命令如下:

command-privilege level 0 view system interface gigabitethernet1/0/41

依然可以访问其他端口。


组网及组网描述:

S5800 软件版本Comware Software, Version 5.20, Release 1810P16

权限只可配置level 0 -3

最佳答案

粉丝:103人 关注:0人

您好,参考

1.1.3  command-privilege

【命令】

command-privilege level level view view command

undo command-privilege view view command

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

level level:命令的级别,取值范围为0~3。

view view:命令行视图的名称,view的取值中shell表示用户视图。该参数必须是command所在的视图,具体命令所在视图请参见该命令解释的“【视图】”小节的描述。

command:需要设置的命令。

【描述】

command-privilege命令用来设置指定视图下的命令的级别。undo command-privilege命令用来恢复缺省情况。

缺省情况,各个视图下的每条命令都有指定的级别,详细介绍请参见“基础配置指导/CLI”中的“级别简介”小节。

命令级别共分为访问、监控、系统、管理4个级别,分别对应标识0、1、2、3。管理员可以根据用户需要改变命令的级别,实现低级别用户可以使用部分高级别命令的功能。用户操作设备时,可以使用等于或者低于用户本身级别的所有命令。例如:某用户的级别是3级,则该用户可以使用3级及3级以下的命令。

需要注意的是:

·     通常情况下,建议用户不要修改缺省的命令级别或者在专业人员的指导下进行修改,以免造成操作和维护上的不便甚至给设备带来安全隐患。

·     配置command-privilege命令时,command参数必须是需要设置的命令的完整形式,即必须输入命令的所有关键字以及参数,参数只要在取值范围之内即可,对具体值没有限制。比如tftp server-address get put | sget } source-filename [ destination-filename ] source { interface interface-type interface-number | ip source-ip-address } ]命令的缺省级别为3,现配置命令command-privilege level 0 view shell tftp 1.1.1.1 put a.cfg,则当级别为0的用户登录设备时,可以执行tftp server-address put source-filename命令(比如tftp 192.168.1.26 put syslog.txt),但不能携带destination-filenamesource参数,也不能执行getsget操作。

·     配置undo command-privilege命令时,command参数可以使用省略形式,即只输入命令最前面的部分参数。比如执行undo command-privilege view system ftp,会将系统视图下所有以ftp关键字开头的命令(如ftp server aclftp server enableftp timeout等)的级别恢复到缺省级别。如果当前已经修改了ftp server enableftp timeout命令的级别,但只想将ftp server enable命令的级别恢复到缺省级别,则需要使用命令undo command-privilege view system ftp server

·     如果将某视图下的某条命令的级别修改为低于缺省级别的级别,请注意相应的修改quit以及进入该视图命令的级别。比如interfacesystem-view命令的缺省级别均为2(系统级),如果要将interface命令开放给级别为1的用户使用,则需要配置command-privilege level 1 view shell system-view、command-privilege level 1 view system interface Ethernet 1/0/1 、command-privilege level 1 view system quit,以便级别为1的用户登录设备后,能够进入系统视图、执行interface Ethernet命令、退回用户视图。

【举例】

# 将用户视图下的命令system-view的级别修改为3级。(缺省情况级别是2或3的用户登录设备后可以使用system-view命令,通过以下配置只有级别是3的用户才可以使用该命令进入系统视图,对设备进行配置,从而增强了设备的安全性)

<Sysname> system-view

[Sysname] command-privilege level 3 view shell system-view

无法只只限制访问某一个 Ethernet呢

zhiliao_cAMkl 发表时间:2021-07-29 更多>>

无法只只限制访问某一个 Ethernet呢

zhiliao_cAMkl 发表时间:2021-07-29
0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明